Guía de seguridad de dispositivos Windows

Articulos tematica Microsoft

INCIBE: Tu ayuda en Ciberseguridad

Orientación para organizaciones sobre cómo elegir, configurar y utilizar dispositivos Windows de forma segura

Decida qué dispositivos con Windows 10 utilizará su organización :

  • Se prefieren los dispositivos con requisitos de hardware para habilitar funciones como la seguridad basada en virtualización y el cifrado de disco completo.
  • Los dispositivos con Windows 10 suelen recibir actualizaciones de software varias veces al año, con actualizaciones importantes dos veces al año. Recomendamos mantener los dispositivos tan actualizados como lo permita su organización. La hoja de datos del ciclo de vida de Windows de Microsoft puede ayudarlo a planificar actualizaciones para que su organización siga utilizando versiones compatibles.

Utilice una de las arquitecturas de red recomendadas para habilitar el acceso remoto a los servicios empresariales.

Utilice un servicio de administración de dispositivos móviles para configurar, monitorear y aplicar controles técnicos en sus dispositivos con Windows 10. Habilite las funciones de registro y monitoreo .

Si se está mudando de local solo para incluir la nube, inicialmente se recomienda una implementación de red híbrida. Esto se puede hacer con Azure Connect.

Use Windows Autopilot para inscribir y aprovisionar dispositivos a través de la inscripción sin contacto con una imagen base confiable de Windows 10. Aprovisione cuentas no administrativas durante la configuración, eliminando la necesidad de cuentas de administrador local.

Configure Windows Defender para ayudar a protegerse contra software malintencionado. Si desea utilizar una 3 ª parte Antivirus , nos gustaría recomendar uno que utiliza nube de detección y ganchos en la interfaz de escaneo anti-malware (AARMI) .

Las cámaras están habilitadas para permitir Windows Hello y videoconferencias. Sin embargo, es posible que esto no sea apropiado para su entorno de implementación específico, en cuyo caso estas funciones deben deshabilitarse.

Deshabilite las macros de Microsoft Office, si esto no es posible, solo permita macros para aplicaciones o usuarios específicos cuando sea absolutamente necesario. Consulte seguridad de macros para Microsoft Office para obtener más orientación

Configuración del dispositivo

Una vez que haya elegido su servicio MDM , la arquitectura y el enfoque de las aplicaciones , debe desarrollar un perfil de configuración de dispositivo, que se puede utilizar para hacer cumplir sus controles técnicos.

Debe incluir pólizas que cubran lo siguiente:

  • El uso de datos biométricos , así como contraseñas y autenticación mediante Windows Hello para empresas.
  • Para dispositivos sin TPM, recomendamos utilizar un estándar de autenticación moderno.
  • Configuración de la configuración de cifrado de BitLocker para evitar la extracción de datos mediante ataques físicos. Se recomienda utilizar un TPM con PIN y cifrado de disco completo.
  • Protección de interfaz externa, incluidos periféricos con cable e inalámbricos . Utilice protecciones de acceso directo a memoria, como garantizar que los nuevos dispositivos con capacidad de acceso directo a memoria no se puedan enumerar cuando el dispositivo está bloqueado.
  • Actualizaciones automáticas de su sistema operativo y aplicaciones, junto con firmware y controladores cuando corresponda. Recomendamos configurar Windows Update para empresas para habilitar esto.
  • La red privada virtual (VPN) IKEv2 siempre activa integrada (si se requiere una VPN), junto con el uso de almacenamiento respaldado por hardware para las credenciales de VPN, a través de Windows Hello para empresas o el uso de la atestación de claves de Windows .
  • Recomendamos configurar el cliente VPN integrado de Windows 10 configurado según la guía de personalización, disponible para organizaciones del sector público al comunicarse con las consultas de NCSC (este archivo también incluye la aplicación NCSC Captive Portal Helper para VPN siempre activas).
  • Si utiliza una VPN de terceros, configure de acuerdo con la Guía IPsec o la Guía TLS de NCSC y siguiendo la guía independiente de nuestra plataforma sobre VPN .
  • AppLocker para ayudar a defenderse contra malware y ransomware: se proporciona una configuración de muestra recomendada en el paquete de configuración. Además, debe incluir políticas que administren aplicaciones de terceros para uso laboral desde un catálogo de aplicaciones empresariales, entregadas a través de MDM, a través de una tienda privada.
  • La seguridad de las cuentas en la nube en los dispositivos de los usuarios , mediante el uso de acceso condicional para controlar el acceso a las funciones y servicios confidenciales que requiere su organización.
  • Eliminación de Internet Explorer.
  • Se recomienda Edge en el modo Internet Explorer (IE) para cualquier caso de uso heredado.
  • En los casos en los que Edge en el modo IE no es factible, las políticas para el navegador se proporcionan en el repositorio de GitHub de la Guía de seguridad del dispositivo . Sin embargo, debe esforzarse por migrar a navegadores más modernos antes de que finalice el soporte de Internet Explorer el 15 de junio de 2022 .
  • Configuración del Firewall de Windows Defender para ayudar a reducir las conexiones no deseadas en redes públicas y privadas. De forma predeterminada, bloquee el tráfico saliente en estas redes, agregando reglas para permitir excepciones específicas para los servicios y protocolos que su organización requiere.
  • Permitir aplicaciones con AppLocker

Al configurar las reglas de AppLocker para las aplicaciones que pueden ejecutarse en un dispositivo Windows, es importante que se cumplan las siguientes condiciones:

  • Los usuarios no deben poder ejecutar programas desde áreas donde se les permite escribir archivos.
  • Se debe tener cuidado para garantizar que las actualizaciones de la aplicación no entren en conflicto con las reglas que se han establecido.
  • Las aplicaciones deben revisarse antes de que se les permita en toda la empresa, para garantizar que no socaven otros controles técnicos de la organización para limitar la ejecución del software. Esto es especialmente importante para los lenguajes de secuencias de comandos (como Python o Node.js) que tienen sus propios entornos de ejecución y pueden permitir que el código omita AppLocker.

La configuración de AppLocker sugerida en esta guía garantizará que se cumplan estas condiciones, siempre que el software utilizado cumpla con los requisitos del Programa de certificación de aplicaciones de escritorio de Microsoft . Si es necesario personalizar las reglas de AppLocker, siga la Guía de diseño de Microsoft para minimizar el impacto operativo.

Aplicaciones universales

La configuración proporcionada en esta guía evita que los usuarios accedan a la Microsoft Store pública para instalar aplicaciones. Sin embargo, una organización aún puede albergar su propia tienda para distribuir aplicaciones internas a los empleados. Esto se puede implementar utilizando Microsoft Store for Business en la nube o mediante una aplicación de la tienda de la empresa, implementada en los dispositivos .

Si Microsoft Store está habilitado, los usuarios solo deben usar su Microsoft ID corporativo para iniciar sesión en la aplicación Store, en lugar de asociar su dispositivo de trabajo con su Microsoft ID personal. AppLocker se puede configurar para permitir solo la instalación de aplicaciones que están en una lista de "permitidos" configurada por la empresa.

Microsoft Store debe configurarse para actualizar automáticamente cualquier aplicación instalada, incluidas las aplicaciones que vienen incluidas con Windows. El mismo mecanismo también se puede utilizar para eliminar las aplicaciones universales que vienen con Windows: las aplicaciones que el usuario no puede ejecutar no se permitirán y se eliminarán del menú Inicio.

Antivirus de Windows Defender

Si bien es probable que el comportamiento predeterminado del antivirus de Windows Defender sea ​​suficiente para proteger a muchos usuarios domésticos, las implementaciones en un entorno empresarial pueden requerir una configuración adicional. Habilitar tanto las protecciones basadas en la nube como las protecciones en tiempo real reducirá el riesgo de malware, además de configurar los análisis de acuerdo con las políticas de su organización.

SmartScreen de Windows Defender

Windows Defender SmartScreen es una extensión de Windows Defender Antivirus que utiliza el análisis heurístico de una aplicación o página web para determinar su 'reputación'. Debe activar esta opción para ayudar a proteger aún más a sus usuarios de sitios web maliciosos y malware. Los usuarios pueden anular esta advertencia, aunque SmartScreen se puede configurar para evitarlo.

Fecha actualización el 2021-07-05. Fecha publicación el 2021-07-05. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: ncsc